W serwisie bezpiecznedane.gov.pl można sprawdzić, czy nasze dane umieszczono w bazie, która niedawno wyciekła do sieci – ogłosił dzisiaj za pośrednictwem Twittera minister cyfryzacji Janusz Cieszyński. Tyle teorii, bo nikomu, przynajmniej na razie, kto jest zainteresowany weryfikacją, się to nie uda. Strona działała krótko przed godz. 10.00, ale obecnie próba otworzenia jej kończy się najczęściej otrzymaniem komunikatu o błędzie. Jeżeli już ktoś się na nią dostanie, niczego to nie zmienia – nie działają odnośniki i przyciski.

Przeczytajcie także: • Nie tylko strony banków. Oszuści podszywają się też pod Google Pay

Gdy witryna jeszcze działała, na krótko udało mi się dotrzeć do logowania, jednak wymagano do tego weryfikacji za pomocą Profilu Zaufanego. Jako że strona jest nowa, a wzmianka o tym, że stoi za nią CSIRT NASK (zajmuje się cyberbezpieczeństwem) jest ukryta, zrezygnowałem z autoryzowania się w ten sposób. Jak pokazał serwis Zaufana Trzecia Strona, być może słusznie – przykład w tweecie poniżej.

COI uruchomiło "rządowy HaveIBeenPwned" pod adresem https://t.co/LLPrfmPsrm. Minusy - trzeba się zalogować profilem zaufanym (po co?), w bazie jest tylko ostatni opisywany przez nas wyciek. Plusy - działa i można sprawdzić dowolne "swoje" konto, do tego pokazuje kawałek hasła... pic.twitter.com/DcxKinhaUM

— ZaufanaTrzeciaStrona @zaufanatrzeciastrona@infosec (@Zaufana3Strona) May 31, 2023

W ostatnich dniach doszło do dwóch wycieków danych. Jeden można nazwać "bankowym" i przeczytacie na jego temat więcej w tekście Głośny ostatnio wyciek danych kart, dotyczy nie tylko ING, Santandera i Millennium, ale także mBanku, Credit Agricole i BPS. Drugi ma prawdopodobnie większą skalę (może dotyczyć nawet 100 tys. osób) i to na niego zareagował rząd. Chodzi o wycieki loginów i haseł z serwisów społecznościowych, pocztowych, a także sklepów czy banków.

Przeczytajcie także: • Proste zastrzeganie numeru PESEL jednak od połowy 2024 roku

Choć nie działa rządowy serwis, nadal można sprawdzić, czy nasze dane wyciekły, ale w "tradycyjny" sposób. Od lat funkcjonuje strona haveibeenpwned.com – wystarczy tam wpisać swój adres mailowy, a system wskaże, czy znazł się w którymś z dużych wycieków danych. Także tym ostatnim.

Aktualizacja

Przed godz. 14 udało mi się skorzystać z serwisu bezpiecznedane.gov.pl. Nadal wymagane jest logowanie się przez Profil Zaufany, co jest niezrozumiałe, skoro wspomniana strona haveibeenpwned.com działa tak samo, a nie ma potrzeby weryfikowania się. W dodatku polska strona ogranicza się do sprawdzenia tylko ostatniego wycieku, choć po weryfikacji maila otrzymuje się wiadomość o treści: "Dane, które wpisałeś w wyszukiwarce, nie zostały upublicznione podczas żadnego wykrytego wycieku".

Dla przykładu: Przetestowałem rządową stronę, wpisując mail znanego polityka i urzędnika. Według bezpiecznedane.gov.pl dane z nim związane nigdy nie wyciekły. Haveibeenpwned.com pokazuje z kolei, że ten adres przewijał się aż przy pięciu wyciekach z ostatnich kilku lat.

Fot. Image by rawpixel.com